记一次简单上传到提权实战案例
0x01 前言
Date/time:2013年,这次的目标就是这台服务器权限,接下来这篇文章会写出在此次渗透中遇到的一些阻碍分析及最终拿到服务器权限的过程。其实这次的渗透应该来说还是挺简单的,都是常规的渗透思路,这次的渗透再次证明了细心、耐心和经验的重要性!
基本信息探测:
目标站点:http://**omarkforensic.com
服务器IP:8*.2*.1*4.7*(英国)
环境平台:ASP.NET
服务器系统:Microsoft-IIS/6.0
0x02 Getshell过程
首先打开这个站到处看了下,找找带参数的动态页面测试下是否有注入漏洞,网站用的.NET程序,在网站上还找不到带参数的URL,使用Google语法虽然找到几处带有参数的动态页面,但是并不存在注入漏洞。
通过查看图片路径和Google语法都没发现网站有诸如Fckeditor的第三方编辑器,最后得到的信息也只有这个网站的后台地址。
通过这个后台可以看出这是一套CMS,这里给大家说一个测试国外站的经验,就是很多国外的后台文件都是没有经过后台验证的,所以也就可以直接绕过后台登录访问并操作其它的后台文件了,如:添加新闻,图片上传等功能的文件。
经过一段时间对主站的测试,没有发现可以直接利用的漏洞。因为我们要的是服务器权限,所以也就没再对主站进行深入测试,主站没办法,那么我们就用御剑扫旁站吧,看下能得到什么有用信息。
半个小时扫到了几处上传,域名不一样,但文件是一样的:admin/ftb.imagegallery.aspx。这里再给大家说一个经验,就是在一些国外服务器上会存在一样的CMS,如果找到一个站有漏洞,可用于测试同服的其它站点,或通过Google搜索语法找同CMS站点进行测试,很有可能还是同一家IDC运营商。
ftb.imagegallery.aspx是后台用于上传图片的一个文件,但没有经过后台登录验证,也没有对上传文件格式进行有效过滤,所以我们可以直接结合IIS6.0解析漏洞即可拿到这个站的Webshell。
0x03 实战提权过程
从目标站点的信息搜集到获取Webshell权限一路还算比较顺利,没有遇到什么阻碍,接下来我们再来看下在提权过程中会遇到什么阻碍么?
1.用中国菜刀连接ASP图片马,打开虚拟终端执行whoami命令,返回信息:[Err] Access is denied. [错误]访问被拒绝,cmd.exe权限问题。
2.C、D、E盘都可以直接访问,并且还能跨站,在C:\RECYCLER\上传了一个cmd.exe,但在执行命令时都显示超时了,还是得传个大马试试。
3.服务器不支持PHP脚本,在上传/新建asp、asa、cer、cdx、txt、asp;.jpg、asp;jpg等扩展文件时都显示写入失败:Write to file failed.。
测试上传以上各种拓展名都失败了,原还以为是限制了某些代码内容、文件大小或者是没有写入权限等问题,后来又想了一下,既然ASP图片马都传上去了,那么就不存在没有写入权限的说法。
当我跨到了同服另一个站,随手传了个ASP发现居然可以上传了,但访问是404,吭爹阿!然后又测试asa、cer这才能够正常访问,后边也测试了同服下的其它站点,发现都是不能上传的,具体原因还没弄明白,如果遇到这种情况时还需要自己多测试一下!
成功上传了ASP大马,系统基本信息的获取方式就不写了,服务器打了585个补丁,算挺多的了,上传几个我常用的提权EXP上去执行看下,最后用了一个名为temp.txt的提权EXP成功添加了一个saga管理员账户,至于这个temp.txt提权EXP的漏洞编号我也给忘了,以前搜集的,没有去整理。
使用ipconfig命令查询了一下发现是个内网环境,直接用lcx.exe工具把目标服务器的3389远程桌面端口给转发出来再连接就OK了:mstsc /v:VPS:1234 /console。
2013-09-30:管理员上线删马了,留了几个后门,晚上再继续搞。
2013-10-01:管理员将全盘设置为不可读不可写权限,果断放弃了。
文章来源:https://mp.weixin.qq.com/s/xcDoBRHeZxS7gBs60JMCDw
